Report: Nicht genehmigte Hard- und Software sowie Cloud-Dienste unabhängig von der Firmen-IT gefährden sensible Unternehmensdaten.
Der Einsatz nicht genehmigter Hardware und Software, nicht vorgesehene IT-Betriebsabläufe und ähnliche »Nachlässigkeiten« – im Fachjargon »Schatten-IT« genannt – gefährden die Sicherheit in der deutschen Wirtschaft in erheblichem Maße.
Diese Schlussfolgerung ergibt sich aus dem aktuellen eco Sicherheitsreport 2016, der auf der Umfrage unter 580 IT-Experten aus überwiegend mittelständischen Firmen in Deutschland basiert [1]. »Es gibt in jedem größereb Unternehmen in den Fachabteilungen vermutlich mehr nicht genehmigte und nirgendwo dokumentierte Software und genutzte Cloud Services, als sich die IT-Abteilungen in ihren kühnsten Albträumen vorstellen«, mutmaßt Oliver Dehning, Leiter der Kompetenzgruppe Sicherheit im eco – Verband der Internetwirtschaft e. V.
Unkalkulierbare Risiken
Über drei Viertel (76 Prozent) der von eco für den Report befragten Experten gehen davon aus, dass Schatten-IT in ihrem Unternehmen genutzt wird. Ein knappes Viertel (23 Prozent) vermutet sogar, dass die Nutzung von Schatten-IT in erheblichem Umfang stattfindet. Lediglich 16 Prozent sind überzeugt, dass in ihrem Betrieb keine Schatten-IT existiert.
»Durch Cloud-Dienste werden Fachabteilungen heutzutage in die Lage versetzt, ganze Funktionsfelder auszugliedern, ohne ihre firmeneigene IT-Abteilung überhaupt informieren zu müssen«, sagt Oliver Dehning: »Das mag für die Performance in der jeweiligen Fachabteilung durchaus zuträglich sein, aber für die IT-Sicherheit bedeutet es unkalkulierbare Risiken.«
Aufklärung der Mitarbeiter ist entscheidend
Zur Abhilfe empfiehlt der eco Verband den Unternehmen die Bereitstellung geeigneter Lösungen für die Fachbereiche durch die Zentral-IT, die tatsächliche Kontrolle der IT-Nutzung und die Sensibilisierung der Mitarbeiter in Bezug auf die Gefahren der Schatten-IT.
Dazu Oliver Dehning: »Zur Schatten-IT kommt es in der Regel, wenn ein Bedarf auf Fachbereichsebene besteht, den die IT nicht adäquat bedient. Die Deckung dieses Bedarfs durch akzeptable Lösungen sollte also eine hohe Priorität besitzen.«
Zudem empfiehlt der Kompetenzgruppenleiter eine strikte Kontrolle; so lässt sich etwa bei der Revision eingesetzter Endgeräte feststellen, welche Anwendungen installiert sind. Zudem sollte geprüft werden, ob es IT-Ausgaben gibt, von denen die IT-Abteilung nichts weiß. »Eine Schlüsselrolle spielt auch die Aufklärung der Mitarbeiter, die Aufstellung und Vermittlung von Regeln für die akzeptable Nutzung und die Information über die Vorteile alternativer Lösungen«, stellt Oliver Dehning klar.
[1] https://www.eco.de/wp-content/blogs.dir/eco-report-it-sicherheit-2016.pdf
eco (www.eco.de) ist mit mehr als 900 Mitgliedsunternehmen der größte Verband der Internetwirtschaft in Europa. Seit 1995 gestaltet der eco Verband maßgeblich die Entwicklung des Internets in Deutschland, fördert neue Technologien, Infrastrukturen und Märkte, formt Rahmenbedingungen und vertritt die Interessen der Mitglieder gegenüber der Politik und in internationalen Gremien. In den eco Kompetenzgruppen sind alle wichtigen Experten und Entscheidungsträger der Internetwirtschaft vertreten und treiben aktuelle und zukünftige Internetthemen voran.
Schatten-IT: Wie undurchsichtig wird die IT-Sicherheit durch die Cloud?
Unternehmen müssen die Schatten-IT einbeziehen, um wettbewerbsfähig zu bleiben
Das Ende der Schatten-IT – Ablösung des Primats der Infrastruktur durch Daten
Interview zur Schatten-IT – Gravierende Probleme durch Schattensysteme